Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20091025 cryptoprotocols nikolenko_lecture06

490 views

Published on

  • Be the first to comment

  • Be the first to like this

20091025 cryptoprotocols nikolenko_lecture06

  1. 1. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Êëþ÷è è ïðîòîêîëû äëÿ íèõ Ñåðãåé Íèêîëåíêî Êðèïòîãðàôèÿ CS Club, îñåíü 2009 Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  2. 2. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Outline 1 Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à 2 Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì 3 Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Êëàññè÷åñêèå àòàêè Ðàñïðåäåëåíèå êëþ÷åé Ðàçäåëåíèå ñåêðåòà Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  3. 3. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Èäåÿ Ìû óæå íàó÷èëèñü ïåðåäàâàòü ñîîáùåíèÿ êðèïòîñèñòåìàìè ñ îòêðûòûì êëþ÷îì. Íî ýòî äîâîëüíî ìåäëåííî è áîëüøîé overhead ïîëó÷àåòñÿ. Ñ ñåêðåòíûì êëþ÷îì âñ¼ áûëî áû ãîðàçäî áûñòðåå. ×òî äåëàòü? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  4. 4. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Èäåÿ Íàäî ïðè ïîìîùè ïðîòîêîëîâ ñ îòêðûòûì êëþ÷îì óñòàíîâèòü îäíîðàçîâûé (ýôåìåðíûé) ñåêðåòíûé êëþ÷, à ïîòîì øèôðîâàòü èì. Ïîëüçà îò ýòîãî: âðàãó äàäèì ìåíüøå ñîîáùåíèé, çàøèôðîâàííûõ îäíèì è òåì æå êëþ÷îì, è åìó áóäåò ñëîæíåå; åñëè âðàã âñ¼-òàêè äîáóäåò êëþ÷, ìåíüøå ñîîáùåíèé áóäóò ñêîìïðîìåòèðîâàíû; ÷åñòíûì ó÷àñòíèêàì íå íàäî õðàíèòü îãðîìíîå êîëè÷åñòâî ïîñòîÿííûõ ñåêðåòíûõ êëþ÷åé, à ìîæíî ñîçäàâàòü, êîãäà íóæíî; ðàçíûå ñåññèè ìåæäó ó÷àñòíèêàìè (íàïðèìåð, îáùåíèå ðàçíûõ ïðîãðàìì ïî ñåòè) ñòàíîâèòñÿ íåçàâèñèìûì. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  5. 5. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à È âîò ìû óæå çíàåì ïðîñòåéøèé ïðîòîêîë ñîãëàñîâàíèÿ êëþ÷à: 1 Àëèñà ïóáëèêóåò ïóáëè÷íûé êëþ÷ äëÿ êàêîé-íèáóäü êðèïòîñèñòåìû ñ îòêðûòûì êëþ÷îì; 2 Áîá âûáèðàåò ñåêðåòíûé êëþ÷ K , øèôðóåò åãî, ïåðåäà¼ò Àëèñå. 3 Àëèñà äåêîäèðóåò, è òåïåðü ó Àëèñû è Áîáà åñòü îáùèé êëþ÷ K , êîòîðûì ìîæíî øèôðîâàòü. Åñëè Àëèñà è Áîá àáñîëþòíî äîâåðÿþò äðóã äðóãó è âåðÿò, ÷òî âðàã ìîæåò ïðîâîäèòü òîëüêî ïàññèâíûå àòàêè (òîëüêî ñëåäèòü çà ñîîáùåíèÿìè, íå èçìåíÿÿ èõ è íå ïðèêèäûâàÿñü ó÷àñòíèêàìè ïðîòîêîëà), òî òàê ìîæíî ñäåëàòü. Íî íóæíî ãîòîâèòüñÿ ê õóäøåìó. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  6. 6. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à ×òî áóäåò ñåãîäíÿ Ìû ñåãîäíÿ íà÷í¼ì ñ èñòîðè÷åñêè ïåðâîãî ïðèìèòèâà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì âîîáùå. Çàòåì ïîéì¼ì, ÷òî îí íèêàêîé êðèòèêè íå âûäåðæèâàåò. Çàòåì ïîïðîáóåì ïðèäóìàòü ÷òî-íèáóäü ïîëó÷øå. À çàòåì îáîáùèì çàäà÷ó ñîãëàñîâàíèÿ êëþ÷à ñ äâóõ ó÷àñòíèêîâ íà áîëüøåå èõ êîëè÷åñòâî. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  7. 7. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Èñòîðèÿ Whiteld Die, Martin Hellman, 1976. Êàê âîäèòñÿ, ïîòîì âûÿñíèëîñü, ÷òî áðèòàíåö Malcolm J. Williamson, ðàáîòàâøèé íà ðàçâåäêó, ïðèäóìàë òî æå ñàìîå ðàíüøå, íî åãî çàñåêðåòèëè. Ýòî áóäåò äëÿ íàñ ïåðâûé ïðîòîêîë, îñíîâàííûé íà çàäà÷å äèñêðåòíîãî ëîãàðèôìà. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  8. 8. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Èäåÿ è ñòðóêòóðà Öåëü: óñòàíîâèòü îáùèé êëþ÷. Ïóáëè÷íî âûáèðàåòñÿ ìîäóëü n è ÷èñëî g , âçàèìíî ïðîñòîå ñ n. Àëèñà âûáèðàåò a, Áîá âûáèðàåò b. Àëèñà ïîñûëàåò g a , Áîá ïîñûëàåò g b .  ðåçóëüòàòå êàæäûé ìîæåò âû÷èñëèòü g . ab Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  9. 9. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Çàìå÷àíèÿ ×åì ìû ïîëüçîâàëèñü äëÿ ãðóïïû Zn ? Íà êàêèå ãðóïïû ìîæíî îáîáùèòü? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  10. 10. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Çàìå÷àíèÿ ×åì ìû ïîëüçîâàëèñü äëÿ ãðóïïû Zn ? Íà êàêèå ãðóïïû ìîæíî îáîáùèòü? Ïðîòîêîë Äèôôè-Õåëëìàíà ðàáîòàåò â ëþáîé êîììóòàòèâíîé ãðóïïå. À êàêàÿ çàäà÷à ñòîèò ïåðåä ïàññèâíûì âçëîìùèêîì? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  11. 11. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Çàìå÷àíèÿ ×åì ìû ïîëüçîâàëèñü äëÿ ãðóïïû Zn ? Íà êàêèå ãðóïïû ìîæíî îáîáùèòü? Ïðîòîêîë Äèôôè-Õåëëìàíà ðàáîòàåò â ëþáîé êîììóòàòèâíîé ãðóïïå. À êàêàÿ çàäà÷à ñòîèò ïåðåä ïàññèâíûì âçëîìùèêîì? Ïî g a è g b íàéòè g ab . Ýòî íå äèñêðåòíûé ëîãàðèôì, à Die-Hellman problem, êàê â RSA. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  12. 12. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Êðèïòîñèñòåìà Ýëü-Ãàìàëÿ Èç ïðîòîêîëà Äèôôè-Õåëëìàíà ìîæíî ñäåëàòü íàñòîÿùóþ êðèïòîñèñòåìó. Ãåíåðàöèÿ êëþ÷åé. 1 Àëèñà âûáèðàåò ñëó÷àéíóþ ñòåïåíü x , ïîäñ÷èòûâàåò h = gx. 2 Âûäà¼ò h, g è ãðóïïó â âèäå ïóáëè÷íîãî êëþ÷à. Ñåêðåòíûé êëþ÷ x . Êîäèðîâàíèå. 1 Áîá âûáèðàåò ñëó÷àéíûé y , âû÷èñëÿåò c1 = g y . Ó íåãî ïîëó÷àåòñÿ ¾îáùèé ñåêðåò¿ s = hy . 2 Ñîîáùåíèå m Áîá êîäèðóåò êàê c2 = ms . 3 Ïîñûëàåò Àëèñå (c1 , c2 ). Äåêîäèðîâàíèå. 1 Àëèñà âû÷èñëÿåò s = c1x è äåêîäèðóåò m = c2 s −1 . Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  13. 13. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Àíàëèç íàä¼æíîñòè ñõåìû Die-Hellman Ìû çíàåì, ÷òî DH íàä¼æåí ïðîòèâ ïàññèâíûõ àòàê, åñëè DHP íå ðåøèòü. Ò.å. ïðîòèâ ×àðëè, êîòîðûé ïîäãëÿäûâàåò çà Àëèñîé è Áîáîì, DH íàä¼æåí. À åù¼? Ìîæåò ëè Àëèñà áûòü óâåðåííîé, ÷òî ðàçãîâàðèâàåò èìåííî ñ Áîáîì? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  14. 14. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Àíàëèç íàä¼æíîñòè ñõåìû Die-Hellman Ìû çíàåì, ÷òî DH íàä¼æåí ïðîòèâ ïàññèâíûõ àòàê, åñëè DHP íå ðåøèòü. Ò.å. ïðîòèâ ×àðëè, êîòîðûé ïîäãëÿäûâàåò çà Àëèñîé è Áîáîì, DH íàä¼æåí. À åù¼? Ìîæåò ëè Àëèñà áûòü óâåðåííîé, ÷òî ðàçãîâàðèâàåò èìåííî ñ Áîáîì? Êîíå÷íî, íåò. ×àðëè ìîæåò ëåãêî èìèòèðîâàòü Áîáà, íåò íèêàêîãî ïîäòâåðæäåíèÿ ëè÷íîñòè. Ìîæåò ëè Àëèñà áûòü óâåðåííîé, ÷òî òîëüêî Áîá óçíàåò ñåêðåòíûé êëþ÷, à ×àðëè, äàæå åñëè áóäåò èìèòèðîâàòü Áîáà, íå óçíàåò? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  15. 15. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Àíàëèç íàä¼æíîñòè ñõåìû Die-Hellman Ìû çíàåì, ÷òî DH íàä¼æåí ïðîòèâ ïàññèâíûõ àòàê, åñëè DHP íå ðåøèòü. Ò.å. ïðîòèâ ×àðëè, êîòîðûé ïîäãëÿäûâàåò çà Àëèñîé è Áîáîì, DH íàä¼æåí. À åù¼? Ìîæåò ëè Àëèñà áûòü óâåðåííîé, ÷òî ðàçãîâàðèâàåò èìåííî ñ Áîáîì? Êîíå÷íî, íåò. ×àðëè ìîæåò ëåãêî èìèòèðîâàòü Áîáà, íåò íèêàêîãî ïîäòâåðæäåíèÿ ëè÷íîñòè. Ìîæåò ëè Àëèñà áûòü óâåðåííîé, ÷òî òîëüêî Áîá óçíàåò ñåêðåòíûé êëþ÷, à ×àðëè, äàæå åñëè áóäåò èìèòèðîâàòü Áîáà, íå óçíàåò? Êîíå÷íî, íåò, ïî òîé æå ïðè÷èíå. Íî ïðåæäå ÷åì ôîðìóëèðîâàòü, ÷òî ìû îò ïðîòîêîëîâ õîòèì, äàâàéòå ñôîðìóëèðóåì, êàêèå íàñ ìîãóò èíòåðåñîâàòü ïðîòîêîëû. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  16. 16. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû Ïðîòîêîë ïåðåäà÷è êëþ÷à (key transport): Àëèñà ñåêðåòíî ïåðåäà¼ò Áîáó êîíêðåòíûé âûáðàííûé Àëèñîé êëþ÷ K . Ïðîòîêîë ñîãëàñîâàíèÿ êëþ÷à (key agreement): Àëèñà è Áîá äîãîâàðèâàþòñÿ î êàêîì-íèáóäü îáùåì êëþ÷å. Ïðîòîêîë îáíîâëåíèÿ êëþ÷à (key update): ó Àëèñû è Áîáà óæå åñòü ñåêðåòíûé êëþ÷, íî îíè äëÿ íîâûõ ñåññèé èñïîëüçóþò ñâåæèå ðàçíûå êëþ÷è. Ïðîòîêîë ðàçäà÷è êëþ÷åé (key distribution): Öåíòð ðàçäà¼ò ðåçèäåíòàì êëþ÷è, ïðè ïîìîùè êîòîðûõ ìîæíî îáùàòüñÿ äðóã ñ äðóãîì è ñ Öåíòðîì. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  17. 17. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Àòàêè Ïàññèâíûé ïðîòèâíèê ìîæåò òîëüêî ïîäñìàòðèâàòü (è íàçûâàåòñÿ eavesdropper). Àêòèâíûé ïðîòèâíèê âñòàâëÿåò ñâîè ñîîáùåíèÿ (intruder), ïðèêèäûâàåòñÿ ÷åñòíûì ó÷àñòíèêîì (impersonator), ìîæåò ìîäèôèöèðîâàòü ëþáûå ïåðåäàâàåìûå ÷åñòíûìè ó÷àñòíèêàìè ñîîáùåíèÿ, ìîæåò íà÷èíàòü íåñêîëüêî ðàçãîâîðîâ ñ ÷åñòíûì ó÷àñòíèêîì è áðîñàòü îäèí èç íèõ íà ïîëïóòè. Åù¼ ñèëüíåå known-key attack: ïðîòîêîë óñòîé÷èâ ïðîòèâ íå¼, åñëè ×àðëè, óçíàâ ñåêðåòíûå êëþ÷è îò íåñêîëüêèõ ðàçãîâîðîâ Àëèñû è Áîáà, íå ñìîæåò ðàçãàäàòü íîâûé ñâåæèé ñåêðåòíûé êëþ÷ (ñãåíåðèðîâàííûé ñ ïðåæíèìè ïåðìàíåíòíûìè êëþ÷àìè). Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  18. 18. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Æåëàåìûå ñâîéñòâà ïðîòîêîëîâ Àóòåíòèôèêàöèÿ ëè÷íîñòè (entity authentication): Àëèñà óâåðåíà, ÷òî ñ íåé ðàçãîâàðèâàåò Áîá. Àóòåíòèôèêàöèÿ èñòî÷íèêà äàííûõ (data origin authentication): Àëèñà óâåðåíà, ÷òî èìåííî Áîá íàïèñàë ýòî ñîîáùåíèå. Àóòåíòèôèêàöèÿ êëþ÷à (key authentication): Àëèñà óâåðåíà, ÷òî òîëüêî Áîá (è åù¼, ìîæåò áûòü, Öåíòð) ñìîæåò óçíàòü ñåêðåòíûé êëþ÷. Ïîäòâåðæäåíèå êëþ÷à (key conrmation): Àëèñà óâåðåíà, ÷òî Áîá êëþ÷ ïîëó÷èë è ãîòîâ åãî èñïîëüçîâàòü. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  19. 19. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Æåëàåìûå ñâîéñòâà ïðîòîêîëîâ Èäåàëüíàÿ ïðÿìàÿ áåçîïàñíîñòü (perfect forward secrecy): åñëè ×àðëè óçíàåò íàñòîÿùèé ïåðìàíåíòíûé ñåêðåòíûé êëþ÷, ýòî íå ïîìîæåò åìó âçëîìàòü ÷àñòíûå êëþ÷è îò ïðåäûäóùèõ, óæå ñîñòîÿâøèõñÿ îáìåíîâ ìåæäó Àëèñîé è Áîáîì. Ñâåæåñòü êëþ÷à (key freshness): ó÷àñòíèêè óâåðåíû, ÷òî êëþ÷ ñâåæèé è ðàíüøå íå èñïîëüçîâàëñÿ. Êàê íåòðóäíî âèäåòü, DH ìàëî ÷åìó óäîâëåòâîðÿåò. Íî çàòî äà¼ò perfect forward secrecy: íåòó íèêàêèõ ïåðìàíåíòíûõ êëþ÷åé. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  20. 20. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Âðåìåííûå äàííûå Ïðîòîêîëàì íàøèì êðàéíå æåëàòåëüíî, ÷òîáû ó÷àñòíèêè áûëè óâåðåíû â òîì, ÷òî èì íå ïîâòîðÿþò ñòàðîå ïåðåõâà÷åííîå ñîîáùåíèå, ò.å. â òîì, ÷òî êàæäàÿ ñåññèÿ èìååò ñâîé êëþ÷. Äëÿ ýòîãî èñïîëüçóþòñÿ âðåìåííûå, îäíîðàçîâûå äàííûå. Îáùèé òåðìèí nonce: îäíîðàçîâîå ÷èñëî, èñïîëüçóþùååñÿ òîëüêî äëÿ ýòîé ñåññèè (for the nonce). Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  21. 21. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Ðàçíîâèäíîñòè âðåìåííûõ äàííûõ Ñëó÷àéíûå ÷èñëà . Îáû÷íî Àëèñà ïîñûëàåò Áîáó ñëó÷àéíîå ÷èñëî r , à Áîá îòâå÷àåò ÷åì-òî, ÷òî âêëþ÷àåò â ñåáÿ r ; ýòî äîêàçûâàåò ñâåæåñòü ñîîáùåíèÿ Áîáà. Íî íàäî óìåòü ïîðîæäàòü õîðîøèå ñëó÷àéíûå ÷èñëà (èëè õîðîøèå seed'û äëÿ ãåíåðàòîðà). Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  22. 22. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Ðàçíîâèäíîñòè âðåìåííûõ äàííûõ Ïîñëåäîâàòåëüíûå ÷èñëà . Êàæäîå ñîîáùåíèå ìàðêèðóåòñÿ ÷èñëîì (íîìåðîì); ñîîáùåíèå ïðèíèìàþò, òîëüêî åñëè åãî íîìåð áîëüøå âñåõ ïðåäûäóùèõ. Íî òîãäà Àëèñå íàäî õðàíèòü íîìåðà è ïîìíèòü èõ äëÿ êàæäîãî Áîáà, ñ êîòîðûì îíà ìîæåò îáùàòüñÿ. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  23. 23. Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à Ðàçíîâèäíîñòè âðåìåííûõ äàííûõ Timestamps . Îäíîâðåìåííî ïðîâåðÿåò è òî, ÷òî ñîîáùåíèå ñâåæåå, è òî, ÷òî îíî ïîñëàíî íåäàâíî. Íî íàäî ñèíõðîíèçèðîâàòü ÷àñû è áûòü óâåðåííûì, ÷òî ñ íèìè âñ¼ â ïîðÿäêå. Ýòî òîæå íåëåãêî, åñëè êðóãîì âðàãè.  íàøèõ ïðîòîêîëàõ áóäóò â îñíîâíîì èñïîëüçîâàòüñÿ timestamp'û è ñëó÷àéíûå ÷èñëà. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  24. 24. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Outline 1 Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à 2 Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì 3 Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Êëàññè÷åñêèå àòàêè Ðàñïðåäåëåíèå êëþ÷åé Ðàçäåëåíèå ñåêðåòà Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  25. 25. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Èäåÿ Ïðîòîêîëû áóäóò îñíîâàíû íà àëãîðèòìàõ ñèììåòðè÷åñêîé êðèïòîãðàôèè (ò.å. êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì). ×àñòî ìû áóäåì ïðåäïîëàãàòü, ÷òî ó Àëèñû è Áîáà óæå åñòü ñåêðåòíûé êëþ÷, íî îíè õîòÿò äëÿ êàæäîé ñåññèè óñòàíàâëèâàòü íîâûé ñåêðåòíûé êëþ÷, ÷òîáû ìåíüøå äàâàòü ×àðëè èíôîðìàöèè. Ò.å. ôàêòè÷åñêè ìû çàíèìàåìñÿ key update. Íà÷í¼ì ñ ïåðåäà÷è êëþ÷à, êîãäà Àëèñà õî÷åò ïåðåäàòü Áîáó âûáðàííûé åþ êëþ÷. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  26. 26. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Îäíîïðîõîäîâûé key transport Ïðîñòåéøèé ïðîòîêîë: Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  27. 27. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Îäíîïðîõîäîâûé key transport Õîðîøî: Key authentication: Àëèñà íå óâåðåíà, ÷òî Áîá ïîëó÷èë êëþ÷, íî óâåðåíà, ÷òî ïîëó÷èòü åãî ìîæåò òîëüêî Áîá. Key freshness: Àëèñà äîáàâèëà â a timestamp, è Áîá óâåðåí, ÷òî êëþ÷ ñâåæèé. Îäíîñòîðîííèé key conrmation: Àëèñà äîáàâëÿåò â a ÷òî-òî ôèêñèðîâàííîå (íàïðèìåð, èìÿ ¾Áîá¿), è Áîá óâåðåí, ÷òî a ïðèäóìàëà èìåííî Àëèñà, à íå ×àðëè ïîñëàë ñëó÷àéíîå ÷èñëî. Íî Àëèñà íè â ÷¼ì íå óâåðåíà, êîíå÷íî. Ïëîõî: Ïðîòèâ known-key attack óñòîé÷èâîñòè íåò. Àëèñà íè â ÷¼ì íå óâåðåíà, ïîòîìó ÷òî íè÷åãî íå ïîëó÷àåò. Perfect forward secrecy íåò. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  28. 28. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Challenge-response Ïðîòîêîë challenge-response: âìåñòî timestamp'à òåïåðü nonce, ïîëó÷åííûé îò Áîáà. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  29. 29. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ìîäèôèêàöèÿ Åñëè íóæíî ñäåëàòü òàê, ÷òîáû Àëèñà íå êîíòðîëèðîâàëà êëþ÷, ìîæíî ïåðåäàòü òðåòüå ñîîáùåíèå, ñîäåðæàùåå èíôîðìàöèþ îò Áîáà. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  30. 30. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Authenticated Key Exchange Protocol Çà òðè ïðîõîäà ìîæíî ñäåëàòü àóòåíòèôèêàöèþ, ïðè÷¼ì áåç äåêîäèðîâàíèÿ, ÷åðåç õåø-ôóíêöèè. Ïðåäïîëîæèì, ÷òî ìû óìååì âû÷èñëÿòü hK (ñåìåéñòâî õåø-ôóíêöèé ñ êëþ÷îì), è ó Àëèñû è Áîáà åñòü äâà êëþ÷à K è L. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  31. 31. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Authenticated Key Exchange Protocol Òåïåðü Àëèñà óâåðåíà, ÷òî Áîá ýòî Áîá è ÷òî îí ïîëó÷èë êëþ÷. À Áîá óâåðåí, ÷òî Àëèñà ýòî Àëèñà è ÷òî îíà ïîëó÷èëà êëþ÷. Ò.å. âçàèìíîå key authentication è key conrmation. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  32. 32. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ïðîòîêîë Øàìèðà À ìîæíî è âîîáùå áåç êëþ÷åé, îðãàíèçîâàòü êàê â DH, íî key transport. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  33. 33. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ïðîòîêîëû ñ ñåðâåðîì Òåïåðü äàâàéòå ïðåäïîëîæèì, ÷òî ó íàñ åñòü ñåðâåð, êîòîðîìó âåðÿò è Àëèñà, è Áîá. Ó ñåðâåðà è Àëèñû åñòü çàðàíåå ñåêðåòíûé êëþ÷ K , à ó ñåðâåðà è Áîáà ñåêðåòíûé êëþ÷ L. Àëèñà è Áîá õîòÿò ñäåëàòü âðåìåííûé ñåêðåòíûé êëþ÷ äëÿ îáùåíèÿ äðóã ñ äðóãîì. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  34. 34. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Kerberos Kerberos ýòî: ðàñïðåäåë¼ííàÿ ñèñòåìà àóòåíòèôèêàöèè, ñîçäàííàÿ â ðàìêàõ ïðîåêòà Athena â MIT; ñîôò, ñîçäàííûé äëÿ ýòîé ñèñòåìû; ïðîòîêîë àóòåíòèôèêàöèè, ðàçðàáîòàííûé äëÿ ýòîé ñèñòåìû. Ãëàâíàÿ öåëü àóòåíòèôèêàöèÿ (êàê ðàç entity), íî êàê ïîáî÷íûé ýôôåêò è êëþ÷ ñîãëàñîâûâàåòñÿ. Ñåé÷àñ èñïîëüçóåòñÿ â Windows (íà÷èíàÿ ñ 2000), Mac OS X, Red Hat, Solaris, FreeBSD êàê ñèñòåìà àóòåíòèôèêàöèè ïî óìîë÷àíèþ. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  35. 35. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Kerberos Îáîçíà÷åíèÿ: Àëèñà è Öåíòð çíàþò ñåêðåòíûé êëþ÷ K ; Áîá è Öåíòð çíàþò ñåêðåòíûé êëþ÷ L; Àëèñà âûáèðàåò NA è ââîäèò timestamp TA ïî ñâîèì ÷àñàì; Öåíòð âûáèðàåò âðåìåííûé êëþ÷ k äëÿ Àëèñû è Áîáà; T ïåðèîä âàëèäíîñòè (lifetime), âûáèðàåìûé Öåíòðîì. Èäåÿ: Öåíòð ïîñûëàåò Àëèñå ticket, çàøèôðîâàííûé êëþ÷îì Áîáà, è Àëèñà ïåðåñûëàåò åãî êàê ïîäòâåðæäåíèå ñâîèõ íàìåðåíèé. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  36. 36. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Kerberos Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  37. 37. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Kerberos Àëãîðèòì Kerberos. 1 Ñíà÷àëà Àëèñà çàïðàøèâàåò àóòåíòèôèêàöèþ ó öåíòðà ïðÿìûì òåêñòîì. 2 Öåíòð ïîñûëàåò Àëèñå çàøèôðîâàííûå å¼ êëþ÷îì ïîäòâåðæäåíèå, êëþ÷ k è âðåìÿ æèçíè ticket'à, à òàêæå ñàì ticket êëþ÷ k , âðåìÿ åãî æèçíè è ëè÷íîñòü Àëèñû, çàøèôðîâàííûå êëþ÷îì Áîáà. 3 Àëèñà ïåðåñûëàåò èõ Áîáó âìåñòå ñî ñâîåé ëè÷íîñòüþ è lifetime'îì, çàøèôðîâàííûìè íîâûì êëþ÷îì, è òîò ìîæåò ïðîâåðèòü, ÷òî ýòî Àëèñà, è ÷òî ñåðâåð åé äåéñòâèòåëüíî âûäàë íîâûé êëþ÷, è ÷òî ticket åù¼ æèâ. 4 ×òîáû ïîäòâåðäèòü, ÷òî îí âñ¼ ïîíÿë, Áîá âûñûëàåò Àëèñå îáðàòíî çàøèôðîâàííûé íîâûì êëþ÷îì TA . 5 Åñëè íóæíî ñäåëàòü key transport, òî Àëèñà ìîæåò ïðîñòî äîáàâèòü â ñâî¼ ïèñüìî Áîáó æåëàåìûé åþ êëþ÷, à Áîá âåðí¼ò åãî æå èëè ñâîþ ÷àñòü êëþ÷à, åñëè íóæíî, ÷òîáû êëþ÷ çàâèñåë îò îáîèõ. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  38. 38. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Kerberos Ïîëó÷àþòñÿ âçàèìíûå entity authentication è key conrmation. Åñëè Àëèñå íóæíî åù¼ ðàç ïîãîâîðèòü ñ Áîáîì ñ äðóãèì êëþ÷îì, îíà ìîæåò ïðîñòî ïåðåñëàòü òîò æå ticket è íîâûå authenticator, íå îáðàùàÿñü ê ñåðâåðó âîâñå. Åñëè âðåìÿ T åù¼ íå èñòåêëî, Áîá ïðèìåò òîò æå ticket. Ýòî óïðîùàåò key update. Timestamp TA íóæåí, ÷òîáû çàùèòèòüñÿ îò àòàêóþùåãî, ïîâòîðÿþùåãî òå æå ñîîáùåíèÿ (îáùèé ïðè¼ì). Ñîîáùåíèå áóäåò âàëèäíî òîëüêî â òå÷åíèå êîðîòêîãî âðåìåíè è, áîëåå òîãî, äâà ñîîáùåíèÿ ñ îäèíàêîâûì timestamp Áîá íå ïðèìåò. Íî òóò íàäî, ÷òîáû ÷àñû áûëè ó âñåõ ñèíõðîíèçèðîâàíû. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  39. 39. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ïðîòîêîë Îòâýÿ-Ðèèñà Ïðîòîêîë Îòâýÿ-Ðèèñà (Otway-Rees) ïîõîæ íà Kerberos, íî íå íóæíû timestamp'û. Íà ñëåäóþùåì ñëàéäå Àëèñà âûáèðàåò ÷èñëà M è NA, Áîá âûáèðàåò NB , à öåíòð k . Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  40. 40. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ïðîòîêîë Îòâýÿ-Ðèèñà Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  41. 41. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ïðîòîêîë Îòâýÿ-Ðèèñà Çäåñü, åñëè âñå ïðîâåðêè óñïåøíî ïðîéäåíû, òî: Àëèñà óâåðåíà, ÷òî ïîëó÷èëà êëþ÷ k è ÷òî Áîá åãî çíàåò; Áîá óâåðåí, ÷òî íàñòîÿùèé Öåíòð âûäàë åìó íîâûé âðåìåííûé êëþ÷ k äëÿ îáùåíèÿ ñ Àëèñîé. Ò.å. äîñòèãàåòñÿ key authentication è key freshness. ×òîáû ñäåëàòü key conrmation, ïðèä¼òñÿ äîáàâèòü åù¼ îäíî ñîîáùåíèå. Ñêàæåì, Áîá â ñîîáùåíèè 4 ïîøë¼ò íå òîëüêî EK (NA, k ), à åù¼ è Ek (NA, NB ), ñîîáùàÿ nonce è äîêàçûâàÿ, ÷òî îí çíàåò k . À Àëèñà åìó îòâåòèò Ek (NB ), òîæå äîêàçûâàÿ, ÷òî çíàåò k . Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  42. 42. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Ïðîñòåéøèé ïðîòîêîë Òåïåðü ðàññìîòðèì ïðîòîêîëû, îñíîâàííûå íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì. Ó Àëèñû è Áîáà åñòü ïóáëè÷íûå ïðîöåäóðû êîäèðîâàíèÿ PA è PB . Ïðîñòåéøèé ïðîòîêîë: Áîá, æåëàÿ ïåðåäàòü êëþ÷ k Àëèñå, êîäèðóåò åãî è ïåðåäà¼ò PA(k ). Áîá óâåðåí, ÷òî òîëüêî Àëèñà ñìîæåò óçíàòü êëþ÷ (key authentication), íî íå óâåðåí, ÷òî Àëèñà åãî ïîëó÷èëà; Àëèñà íè÷åãî î Áîáå íå çíàåò. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  43. 43. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Needham-Schroeder Ïðîñòîé ïðîòîêîë, ïðåäîñòàâëÿåò âçàèìíóþ ïåðåäà÷ó êëþ÷åé kA è kB , à òàêæå âçàèìíóþ àóòåíòèôèêàöèþ. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  44. 44. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì Öèôðîâàÿ ïîäïèñü Òåïåðü äàâàéòå ïðåäïîëîæèì, ÷òî Àëèñà è Áîá óìåþò åù¼ è ïîäïèñûâàòü ñâîè ñîîáùåíèÿ. Íàïîìèíàíèå: öèôðîâàÿ ïîäïèñü ýòî êîãäà êàæäûé ìîæåò ïðîâåðèòü, ÷òî ïîäïèñàëà Àëèñà, íî íèêòî íå ìîæåò ïîäïèñàòü ñàì çà Àëèñó. Íàïðèìåð, â RSA-ñõåìå Àëèñà âûáèðàåò ìîäóëü n, ýêñïîíåíòó e è îáðàòíóþ ê íåé d è ïîäïèñûâàåò ñîîáùåíèå m òàê: SA (m ) = m d (mod n). Êàæäûé ìîæåò ïðîâåðèòü ïóáëè÷íûì êëþ÷îì, íî íèêòî, íå çíàÿ ñåêðåòíîãî, íå ìîæåò ïîääåëàòü ïîäïèñü. Áóäåì ïðåäïîëàãàòü, ÷òî ó Àëèñû åñòü ïîäïèñü SA, ó Áîáà SB . Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  45. 45. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì X.509 Àëãîðèòì X.509 ñòàíäàðò àóòåíòèôèêàöèè ñ îòêðûòûì êëþ÷îì. Îí ïðåäïîëàãàåò ñèñòåìó ñåðòèôèêàòîâ, êîòîðûå âûïóñêàþò ñïåöèàëüíûå äîâåðåííûå ñòîðîíû. Ñåðòèôèêàò Àëèñû, âûïóùåííûé Öåíòðîì, ñîäåðæèò ïóáëè÷íûå êëþ÷è Àëèñû äëÿ ïîäïèñè è êîäèðîâàíèÿ, à òàêæå ïîäïèñàí Öåíòðîì, ò.å. åãî íèêòî íå ìîæåò ïîääåëàòü. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  46. 46. Ââåäåíèå è Äèôôè-Õåëëìàí Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì X.509 çà äâà ïðîõîäà Çäåñü ñîîáùåíèå Àëèñû mA = (tA, rA, Áîá, PB (kA)), à ñîîáùåíèå Áîáà mA = (tB , rB , Àëèñà, rA, PA(kB )) (t timestamp, êîòîðûé íå äîëæåí îêàçàòüñÿ ñëèøêîì äàâíèì, r ñëó÷àéíîå ÷èñëî, êîòîðîå íå äîëæíî ïîâòîðèòüñÿ).  ðåçóëüòàòå ïðîèñõîäèò àóòåíòèôèêàöèÿ è îáìåí ñåêðåòíûìè êëþ÷àìè kA è kB . Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  47. 47. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Outline 1 Ââåäåíèå è Äèôôè-Õåëëìàí Ââåäåíèå â ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîë Äèôôè-Õåëëìàíà Öåëè è ñðåäñòâà ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à 2 Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ïðîòîêîëû íà êðèïòîãðàôèè ñ çàêðûòûì êëþ÷îì Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à ñ Öåíòðîì Ïðîòîêîëû íà êðèïòîãðàôèè ñ îòêðûòûì êëþ÷îì 3 Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Êëàññè÷åñêèå àòàêè Ðàñïðåäåëåíèå êëþ÷åé Ðàçäåëåíèå ñåêðåòà Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  48. 48. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Àòàêè Ñåé÷àñ ìû ïîãîâîðèì î òîì, ÷åãî ñòîèò îïàñàòüñÿ ïðè ðàçðàáîòêå ïðîòîêîëîâ ñîãëàñîâàíèÿ êëþ÷à. Âñÿêèé ðåàëüíûé ïðîòîêîë äîëæåí áûòü óñòîé÷èâ ïðîòèâ èçâåñòíûõ àòàê. Ìû ñåé÷àñ ïðèâåä¼ì íåñêîëüêî ïðèìåðîâ êëàññè÷åñêèõ óÿçâèìîñòåé â ïðîòîêîëàõ. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  49. 49. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Man-in-the-middle Îáû÷íûé Die-Hellman íå ñïðàâëÿåòñÿ ñ àòàêîé man-in-the-middle. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  50. 50. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Reection attack Ïðåäïîëîæèì, ÷òî Àëèñà è Áîá èìåþò îáùèé ñåêðåò K è àóòåíòèôèöèðóþò äðóã äðóãà òàê: 1 Àëèñà ïîñûëàåò Áîáó rA ; 2 Áîá îòâå÷àåò EK (rA , rB ); 3 Àëèñà îòâå÷àåò rB . Êàê âçëîìàòü òàêóþ ñèñòåìó? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  51. 51. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Reection attack Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  52. 52. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Interleaving attack Ïðåäïîëîæèì, ÷òî Àëèñà è Áîá àóòåíòèôèöèðóþò äðóã äðóãà ïðè ïîìîùè öèôðîâûõ ïîäïèñåé: 1 Àëèñà ïîñûëàåò Áîáó rA ; 2 Áîá îòâå÷àåò rB , SB (rA , rB , Àëèñà); 3 Àëèñà îòâå÷àåò rA , SA (rA , rB , Áîá). Êàçàëîñü áû, çäåñü äîëæíà áûòü è ñâåæåñòü (çà ñ÷¼ò íîâûõ rA, rB ), è entity authentication... Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  53. 53. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Interleaving attack Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  54. 54. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Misplaced trust Âñïîìíèì ïðîòîêîë Îòâåÿ-Ðèèñà. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  55. 55. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Misplaced trust Ñåðâåð çäåñü äîëæåí ïðîâåðèòü, ñîâïàäàþò ëè çàøèôðîâàííûå ÷àñòè ñîîáùåíèÿ 2 è ñîîòâåòñòâóþò ëè îíè òîìó, ÷òî ïðèøëî â îòêðûòîì âèäå. Åñëè ýòó ïðîâåðêó óáðàòü, òî ×àðëè ñìîæåò óêðàñòü identity Áîáà. Ïóñòü ó ×àðëè ñ Öåíòðîì ñåêðåòíûé êëþ÷ R . Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  56. 56. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Misplaced trust Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  57. 57. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ñóòü Åñòü Öåíòð, ó êîòîðîãî ìíîãî êëèåíòîâ. Ìåæäó Öåíòðîì è êàæäûì êëèåíòîì åñòü íàä¼æíàÿ ñâÿçü. Öåíòð õî÷åò ðàçäàòü êëèåíòàì êëþ÷è òàê, ÷òîáû îíè ìîãëè îáùàòüñÿ äðóã ñ äðóãîì. Ìîæíî ïðîñòî ðàçäàòü êàæäîé ïàðå êëèåíòîâ ïî êëþ÷ó. Íî ýòî î÷åíü óæ ìíîãî êëþ÷åé: êàæäîìó èç n íóæíî ðàçäàòü n − 1 êëþ÷. Íåëüçÿ ëè ìåíüøå? Õî÷åòñÿ âûäàòü êëèåíòó ñåêðåòíóþ èíôîðìàöèþ, ïî êîòîðîé îí è äðóãîé êëèåíò ñìîãóò ñîñòàâèòü ñåáå êëþ÷. Íî òîãäà èíôîðìàöèÿ áóäåò çàâèñèìîé, è äðóãèå êëèåíòû, ìîæåò áûòü, ñìîãóò âû÷èñëèòü êëþ÷è ýòîé ïàðû... Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  58. 58. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Íàä¼æíîñòü è íèæíÿÿ îöåíêà Ñèñòåìà ðàñïðåäåëåíèÿ êëþ÷åé k -íàä¼æíà, åñëè íèêàêàÿ êîàëèöèÿ èç k è ìåíåå ïîëüçîâàòåëåé íå ìîæåò óãàäàòü êëþ÷ êàêîé-ëèáî ïàðû ïîëüçîâàòåëåé, íå âõîäÿùèõ â êîàëèöèþ, ëó÷øå, ÷åì àëãîðèòì áåç çíàíèÿ êëþ÷åé ýòîé êîàëèöèè. Íèæíÿÿ îöåíêà Áëîìà (òåîðåòèêî-èíôîðìàöèîííàÿ): äëÿ êàæäîé k -íàä¼æíîé ñèñòåìû, ðàçäàþùåé êëþ÷è ïî m áèò, ó êàæäîãî êëèåíòà äîëæíî áûòü íå ìåíüøå (k + 1)m áèò ñåêðåòíîé èíôîðìàöèè. Òî åñòü ïðîòèâ êîàëèöèé ðàçìåðîì n − 2 ïðèä¼òñÿ äåéñòâèòåëüíî ðàçäàâàòü n − 1 êëþ÷ êàæäîìó. À ïðîòèâ ìåíüøèõ ìîæíî ëó÷øå. Óïðàæíåíèå. Äîêàçàòü ýòó îöåíêó. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  59. 59. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Singleton bound Ðàññìîòðèì êîä, èñïðàâëÿþùèé îøèáêè, ïåðåâîäÿùèé ñîîáùåíèå äëèíû k â êîä äëèíû n. Êàêèì ìîæåò áûòü ðàññòîÿíèå ìåæäó êîäîâûìè ñëîâàìè? Singleton bound: d ≤ n − k + 1. Äîêàæèòå. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  60. 60. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Singleton bound Ðàññìîòðèì êîä, èñïðàâëÿþùèé îøèáêè, ïåðåâîäÿùèé ñîîáùåíèå äëèíû k â êîä äëèíû n. Êàêèì ìîæåò áûòü ðàññòîÿíèå ìåæäó êîäîâûìè ñëîâàìè? Singleton bound: d ≤ n − k + 1. Äîêàæèòå. Ìåæäó êîäîâûìè ñëîâàìè ðàññòîÿíèå d . Çíà÷èò, åñëè ñòåðåòü ïåðâûå d − 1 ñèìâîëîâ, îíè âñ¼ ðàâíî áóäóò ïîïàðíî ðàçëè÷íû. Çíà÷èò, äëèíà ñîîáùåíèÿ ìàêñèìóì k ≤ n − d + 1, ÷òî è òðåáîâàëîñü. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  61. 61. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà MDS-êîäû MDS-êîä (maximum distance separable code) êîä, ó êîòîðîãî ðàññòîÿíèå ìåæäó êîäîâûìè ñëîâàìè ðàâíî â òî÷íîñòè n − k + 1.  MDS-êîäå: ëþáûå k êîìïîíåíò êîäîâîãî ñëîâà îïðåäåëÿþò åãî; ëþáûå k − 1 êîìïîíåíò êîäîâîãî ñëîâà íå äàþò íèêàêîé èíôîðìàöèè îá îñòàëüíûõ. Óïðàæíåíèå. Äîêàæèòå ýòè ñâîéñòâà. Hint: äîêàæèòå, ÷òî ëþáûå k ñòîëáöîâ ìàòðèöû G â MDS-êîäå ëèíåéíî íåçàâèñèìû. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  62. 62. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Êîíñòðóêöèÿ Áëîìà Öåíòð âûáèðàåò ïîëå Fq , âûáèðàåò ìàòðèöó ãåíåðàòîðà G (n, k )-MDS-êîäà, ñîçäà¼ò ñëó÷àéíóþ ñèììåòðè÷åñêóþ k × k ìàòðèöó D íàä Fq è ðàçäà¼ò ïîëüçîâàòåëÿì n ñòðîê ìàòðèöû S = (DG ) . Òåïåðü äâà ïîëüçîâàòåëÿ i è j ìîãóò âû÷èñëèòü ñåáå ñåêðåò K ðàçìåðîì log q : ïîëüçîâàòåëü i âû÷èñëÿåò (i , j )-é ýëåìåíò ìàòðèöû K = (DG )T G ; ïîëüçîâàòåëü j âû÷èñëÿåò (j , i )-é ýëåìåíò ìàòðèöû K = (DG )T G ; îñòàëîñü çàìåòèòü, ÷òî K ñèììåòðè÷åñêàÿ. Íàä¼æíîñòü ïðîèñõîäèò èç òîãî, ÷òî ìàòðèöà K ñîñòîèò èç êîäîâûõ ñëîâ MDS-êîäà, à ëþáûå k ïîëüçîâàòåëåé ìîãóò óçíàòü òîëüêî k å¼ ñòðîê (èëè, ÷òî òî æå ñàìîå, ñòîëáöîâ). Çíà÷èò, êîíñòðóêöèÿ j -íàä¼æíà äëÿ j ≤ k − 1. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  63. 63. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ïîñòàíîâêà çàäà÷è Ìîòèâàöèÿ: ìû òóò âñ¼ ðàññóæäàåì î êðèïòîãðàôè÷åñêèõ ñåêðåòàõ (êëþ÷àõ). Èõ íàäî õðàíèòü, è äåëàòü áýêàï. Íî ÷åì áîëüøå ñäåëàòü êîïèé, òåì õóæå áóäåò ñ íàä¼æíîñòüþ. Ïîýòîìó íåïëîõî áû ðàçäåëèòü êîïèè òàê, ÷òîáû ïî îòäåëüíîñòè îíè íè÷åãî íå çíà÷èëè, à òîëüêî âìåñòå. Äðóãîå ïðèìåíåíèå: ðàñïðåäåë¼ííûé êîíòðîëü ïî îòäåëüíîñòè íè îäèí èç ãåíåðàëîâ íå ìîæåò çàïóñòèòü ÿäåðíóþ áîåãîëîâêó, òîëüêî âñå âìåñòå. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  64. 64. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ïðîñòåéøàÿ ñõåìà Ïóñòü ó íàñ åñòü n ïîëüçîâàòåëåé, îäèí íà âñåõ ñåêðåò m, è ìû õîòèì ðàçäàòü åãî òàê, ÷òîáû òîëüêî âñå ïîëüçîâàòåëè âìåñòå ñìîãëè åãî âîññòàíîâèòü. Êàê ýòî ñäåëàòü? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  65. 65. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ïðîñòåéøàÿ ñõåìà Ïóñòü ó íàñ åñòü n ïîëüçîâàòåëåé, îäèí íà âñåõ ñåêðåò m, è ìû õîòèì ðàçäàòü åãî òàê, ÷òîáû òîëüêî âñå ïîëüçîâàòåëè âìåñòå ñìîãëè åãî âîññòàíîâèòü. Êàê ýòî ñäåëàòü? Î÷åíü ïðîñòî: ðàçäàòü èì ñëó÷àéíûå ÷èñëà r1, . . . , rn−1 è m ⊕ r1 ⊕ . . . ⊕ rn−1 . Òîãäà âñå âìåñòå ñìîãóò âîññòàíîâèòü m, à ó ëþáîé êîàëèöèè èç n − 1 ó÷àñòíèêà íåò íèêàêîé îá m èíôîðìàöèè. Íî âäðóã îäíîãî ãåíåðàëà óáüþò ïî äîðîãå? ×òî äåëàòü, åñëè íóæíî, ÷òîáû ëþáûå k èç n ïîëüçîâàòåëåé ñìîãëè çàïóñòèòü ðàêåòó? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  66. 66. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Âîïðîñ ×òîáû îðãàíèçîâàòü ðàçäåëåíèå ñåêðåòà, íóæíî ïðèäóìàòü îáúåêò, êîòîðûé k ýëåìåíòàìè çàäà¼òñÿ îäíîçíà÷íî, à ìåíåå ÷åì k ñîâñåì íå çàäà¼òñÿ. Êàêèå âû çíàåòå òàêèå îáúåêòû? Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  67. 67. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Âîïðîñ ×òîáû îðãàíèçîâàòü ðàçäåëåíèå ñåêðåòà, íóæíî ïðèäóìàòü îáúåêò, êîòîðûé k ýëåìåíòàìè çàäà¼òñÿ îäíîçíà÷íî, à ìåíåå ÷åì k ñîâñåì íå çàäà¼òñÿ. Êàêèå âû çíàåòå òàêèå îáúåêòû? Ìíîãî÷ëåí ñòåïåíè k − 1 çàäà¼òñÿ çíà÷åíèÿìè â k òî÷êàõ. (k − 1)-ìåðíàÿ ãèïåðïëîñêîñòü çàäà¼òñÿ k òî÷êàìè. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  68. 68. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ñõåìà Øàìèðà Ñåêðåò ýòî ÷èñëî a0. Öåíòð âûáèðàåò ñëó÷àéíûå ÷èñëà a1, . . . , ak −1 è îïðåäåëÿåò ìíîãî÷ëåí f = a 0 + a1 x + . . . + ak − 1 x k − 1 . Öåíòð ðàçäà¼ò ó÷àñòíèêàì ÷èñëà f (1), f (2), . . . , f (n) (èëè çíà÷åíèÿ â ëþáûõ äðóãèõ òî÷êàõ). Ëþáûå k ó÷àñòíèêîâ òåïåðü ìîãóò âîñïîëüçîâàòüñÿ èíòåðïîëÿöèåé ïî Ëàãðàíæó, à ëþáûå k − 1 íå ìîãóò. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  69. 69. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ñõåìà Áëýêëè Èñòîðè÷åñêè ïåðâàÿ è ìåíåå óäîáíàÿ. Ó÷àñòíèêàì ðàçäàþòñÿ òî÷êè â k -ìåðíîì ïðîñòðàíñòâå, ëåæàùèå íà (k − 1)-ìåðíîé ãèïåðïëîñêîñòè. Êàæäûå k ó÷àñòíèêîâ ìîãóò å¼ âîññòàíîâèòü, à k − 1 íèêàê íå ìîæåò. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ
  70. 70. Ââåäåíèå è Äèôôè-Õåëëìàí Êëàññè÷åñêèå àòàêè Ïðîòîêîëû ñîãëàñîâàíèÿ êëþ÷à Ðàñïðåäåëåíèå êëþ÷åé Àòàêè, ðàñïðåäåëåíèå êëþ÷åé è ðàçäåëåíèå ñåêðåòà Ðàçäåëåíèå ñåêðåòà Ñïàñèáî çà âíèìàíèå! Lecture notes è ñëàéäû áóäóò ïîÿâëÿòüñÿ íà ìîåé homepage: http://logic.pdmi.ras.ru/∼sergey/ Ïðèñûëàéòå ëþáûå çàìå÷àíèÿ, ðåøåíèÿ óïðàæíåíèé, íîâûå ÷èñëåííûå ïðèìåðû è ïðî÷åå ïî àäðåñàì: sergey@logic.pdmi.ras.ru, snikolenko@gmail.com Çàõîäèòå â ÆÆ smartnik. Ñåðãåé Íèêîëåíêî Êëþ÷è è ïðîòîêîëû äëÿ íèõ

×